分享
 
 
 

使管理员帐户更安全的方法规划指南

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

为什么使管理员帐户更安全十分重要

使管理员帐户尽可能安全是对组织的网络资产提供全面保护不可或缺的。 您需要保护管理员可能使用的每台计算机,包括域控制器、服务器以及他们使用的任何工作站。 组织的 IT 组应该尽可能安全地维护域控制器和证书颁发机构服务器,因为这些均被视为非常值得信赖的资产。 您还必须将管理员的台式和移动计算机作为受信任资产进行保护,因为管理员使用它们来远程管理林、域和基础结构。

频繁连接到域控制器的成员服务器需要高特权才能连接并提供服务。 由于这通常要求服务器保留提升凭据(通常是域级管理权限),任何一台服务器遭到破坏可以立即导致整个域受到破坏。 例如,攻击者可能控制单台成员服务器并将该服务器作为着眼点对整个域发起攻击。

当跨林或域使用安全环境信任时,使域管理员帐户尽可能安全尤为重要。 组织必须能够假设他们可以在所有信任域中使用域帐户,以及跨所有域对管理员帐户应用同样高的保护标准。 例如,假定有一个根域 Test.com 以及两个子域 TestA.com 和 TestB.com。如果 TestB.com 的管理员被显式地授予了 TestA.com 的管理特权或者是整个目录林范围内 Enterprise Admins 组的成员,那么它无法保护 TestA.com 上的管理员帐户。原因在于,如果 TestB.com 中的管理员帐户不安全,TestB.com 不安全域中的入侵者可能获取安全 TestA.com 域的管理访问权限。

为什么不应该以管理员身份登录计算机

如果您定期以管理员身份登录计算机从而执行基于常用应用程序的任务,则您的计算机容易遭受恶意软件攻击以及其他安全威胁,因为恶意软件将使用您登录时使用的相同特权运行。 如果访问 Internet 站点或打开电子邮件附件,则可以损坏计算机,因为可能在您的计算机上部署将下载并执行的恶意代码。

如果您以本地计算机的管理员身份登录,恶意代码可以重新格式化您的硬盘驱动器、删除您的文件并新建拥有管理特权的用户帐户等等。 如果您作为 Active Directory? 目录服务中的 Domain Admins 组、Enterprise Admins 组或 Schema Admins 组的成员登录,恶意代码可以新建有管理访问权限或使架构、配置或域数据濒临风险的域用户帐户。

在本地计算机上,您应该仅将您的域用户帐户添加到 Users 组(而不是 Administrators 组),从而执行常规任务(如运行程序或访问 Internet 站点。 当需要在本地计算机上或者 Active Directory 中执行管理任务时,使用“运行方式”命令启动具有管理凭据的程序。

“运行方式”命令允许您完成管理任务的同时计算机或 Active Directory 数据遭受较小风险。 有关如何使用 Run as 命令的详细信息,请参阅本指南第 3 章“使管理员帐户更安全的指导原则”中的“使用 Secondary Logon 服务”一节。

注意: 有关在 Microsoft? Windows? 2000、Windows XP 和 Windows Server? 2003 中使用“运行方式”的详细信息,请参阅知识库文章 294676、305780、325859 和 325362。您可以通过搜索支持知识库 (KB) 网站的编号找到这些文章,网址为 http://support.microsoft.com/default.aspx?scid=fh;en-us;KBHOWTO

管理帐户和组概述

许多管理用户帐户和组的凭据可以用于登录计算机或域。 Active Directory 域中的管理帐户包括:

Administrator 帐户,它是在域的第一个域控制器上安装 Active Directory 时创建的。 这是该域中权限最高的帐户。 在计算机上安装 Active Directory 的人在安装过程中将为该帐户创建密码。 如果该域是林中创建的第一个域,它会自动成为林根域,因此包含 Enterprise Admins 组。 默认情况下,此林根域的 Administrator 帐户是 Enterprise Admins 组的成员,同样拥有整个林的管理特权。 默认情况下,每个域中创建的第一个管理员帐户也是每个域中加密文件系统 (EFS) 的数据恢复代理 (DRA)。

后来创建的、并直接分配了管理特权或放置到具有管理特权的组的帐户。

使用 EFS 数据恢复代理证书、注册代理证书或密钥恢复代理证书的帐户。 使用这些代理证书的帐户是非常强大的帐户,也应该受到保护。 例如,某人拥有注册代理证书之后,他们可以代表组织中的任何人注册证书并生成智能卡。 然后,生成的智能卡可以用于登录到网络并模拟真正的用户。 由于这些代理证书帐户功能强大,建议组织对拥有这些证书的人员实施坚固的安全策略。

Active Directory 域中管理组的数目会有所不同,这具体取决于安装的服务。 特定用于 Active Directory 的管理的组包括:

已经存在于“Builtin”容器中的管理组;例如,Account Operators 和 Server Operators。 注意,“Builtin”容器中的组不能被移到其他位置。

已经存在于“Users”容器中的管理组;例如,Domain Admins 和 Group Policy Creator Owners。

后来创建的、并放置到具有管理特权的组中或直接分配了管理特权的组。

域环境中的默认管理组和帐户是:

Enterprise Admins(仅存在于林根域中)

Domain Admins(存在于所有域中)

Schema Admins(仅存在于林根域中)

Group Policy Creator Owners(仅存在于林根域中)

管理员组

管理员组帐户

DS Restore Mode Administrator(仅在“目录服务还原模式”时可用。 此帐户对域控制器来说是本地的,不是域级帐户。 当在计算机上安装 Active Directory 时设置此帐户的密码。)

有关每个管理帐户和组的完整描述,请参阅 Windows Server 2003 帮助和支持中心中的“默认组:Active Directory”和“用户和计算机帐户”主题。

管理员帐户类型

本质上说,存在三类登录到计算机或域的管理员帐户。 每一类别均有独特的能力和特权。

本地管理员帐户。 此类包括首次在计算机上安装 Windows Server 2003 时所创建的内置 Administrator 帐户。 此类还包括任何其他后续创建和添加到内置本地 Administrators 组的用户帐户。 此组的成员对本地计算机拥有完全的、无限制的访问权限。

域管理员帐户。 此类包括首次安装 Active Directory 时 Active Directory 所创建和使用的内置域 Administrator 帐户。 此类还包括任何其他后续创建和添加到内置本地 Administrators 组或 Domain Admins 组的用户帐户。 这些组的成员对域有完全的、无限制的访问权限,如果未受到正确保护,则对整个林有完全的、无限制的访问权限。

林管理员帐户。 此类包括在林中创建的第一个域(称为林根域)中的内置域 Administrator 帐户,因为安装 Active Directory 时,林根域中的 Administrator 帐户会自动添加到 Enterprise Admins 组。 此类还包括任何其他后续创建和添加到 Enterprise Admins 组的用户帐户。 Enterprise Admins 组的成员对整个林拥有完全的、无限制的访问权限。 Enterprise Admins 还可以安装“证书颁发机构”,然后可以用于模拟林中的任何用户。

使管理员帐户更安全的原则

当规划如何使管理帐户更安全时,您应该:

采用最小特权这一原则

遵循使管理员帐户更安全的最佳做法指导原则

最小特权原则

大多数与安全相关的培训课程和文档讨论最小特权原则的实施,然而组织却很少遵循。 该原则非常简单,正确地运用它会大大增加安全性和降低风险。 该原则规定,所有用户应该使用仅具有完成当前任务所需的绝对最小权限的用户帐户登录。 这样做可以对抗其他攻击中的恶意代码。 此原则适用于计算机和那些计算机的用户。

此原则如此有效的一个原因是它强制您执行某些内部调查。 例如,您必须确定计算机或用户真正需要的访问特权,然后实施这些特权。 对于许多组织来说,此任务最初看似要做大量工作;但是,它是成功保护网络环境安全的基本步骤。

您应该借鉴最小特权的概念向所有域管理员用户授予域特权。 例如,如果某管理员使用特权帐户登录并无意间执行了病毒程序,那么该病毒对本地计算机和整个域有管理访问权限。 相反,如果管理员使用非特权(非管理)帐户登录,由于病毒是以本地计算机用户运行的,它的破坏范围仅仅是本地计算机。

再举另一个例子,您授予其域级管理员权限的帐户不能拥有其他林的提升权限,即使林之间存在信任关系。 如果攻击者设法破坏某个受管理的林,这一策略帮助防止大范围破坏。 组织应该定期审核其网络,从而防止未经授权的特权提升。

使管理帐户更安全的最佳做法

为更安全地使用 Windows Server 2003 中的管理帐户而应遵循的最佳做法指导原则包括:

区分域管理员和企业管理员角色。

区分用户帐户和管理员帐户。

使用 Secondary Logon 服务。

运行单独的“Terminal Services”会话进行管理。

重命名默认管理员帐户。

创建虚假管理员帐户。

创建次要管理员帐户并禁用内置管理员帐户。

为远程管理员登录启用帐户锁定。

创建强管理员密码。

自动扫描弱密码。

仅在受信任计算机上使用管理凭据。

定期审核帐户和密码。

禁止帐户委派。

控制管理登录过程。

有关这些最佳做法指导原则的详细信息,请参阅下文。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有